İngiltere'de küçük ve orta ölçekli işletmelerin (KOBİ) siber güvenlik sorunlarına yenilikçi bir yaklaşım getiren Cybersecurity Communities of Support (CyCOS) projesi, büyüme ve devir sürecine giriyor. Nottingham Üniversitesi, Queen Mary University of London ve University of Kent akademisyenleri tarafından başlatılan bu araştırma odaklı pilot proje, KOBİ'ler için akran liderliğinde bir siber destek modeli test ediyor. 2023 sonlarında KOBİ siber rehberliğindeki boşlukları araştırmak için başlayan proje, iki profesyonel topluluk oluşturarak pratik bir pilot haline geldi: biri mikro işletmelere, diğeri küçük ve orta ölçekli işletmelere odaklanıyor. Her topluluk, gönüllü siber uygulayıcılar tarafından desteklenen, kasıtlı olarak küçük ve yönetilebilir tutuluyor, böylece üyeler güven oluşturabiliyor, deneyimlerini paylaşabiliyor ve zamanında pratik yardım alabiliyor.
Nottingham Üniversitesi'nden siber güvenlik profesörü Steven Furnell, Infosecurity'e yaptığı açıklamada her toplulukta iki veya üç uzman ve sekiz veya dokuz kuruluş bulunduğunu belirterek, 'Bu, grupları kullanışlı olacak kadar büyük, ancak kişisel kalacak kadar küçük tutuyor' dedi. CyCOS, KOBİ'lerin programlarına uyacak şekilde eşzamanlı ve eşzamansız destek karışımıyla çalışıyor: düzenli tematik web seminerleri ve ara sıra yüz yüze toplantılar; toplulukları bir araya getiren genel oturumlar; gönüllü siber uzmanların üyelerin sorularını gerçek zamanlı yanıtladığı 'Bana Her Şeyi Sor' oturumları; topluluk başlıkları, anketler, oturum kayıtları ve anlık soru-cevap içeren bir destek platformu; ve canlı katılamayan üyeler için kayıtlar ve paylaşılan kaynaklar. Bu yapı, üyelerin etkinlikler arasında da sohbete devam etmesini sağlıyor.
Akademisyenlerin projeyi iki yılı aşkın bir süre yürütmesinin ardından CyCOS şimdi yeni bir aşamaya giriyor. Furnell, planlı bir genişleme ve akademisyenlerin liderliğinin azaltılmasıyla projenin dönüşeceğini duyurdu. Genişleme kapsamında beş yeni topluluk eklenerek pilot kohort iki topluluktan yediye çıkarılacak. Bu hamle, akademik finansman aşamasının sona yaklaştığı ve projenin siber güvenlik uygulayıcıları için profesyonel bir kuruluş olan Chartered Institute of Information Security (CIISec)'e devredilmeye hazırlandığı bir dönemde geliyor. CIISec halihazırda bir CyCOS ortağı. Furnell, 'CyCOS, siber güvenlik destek toplulukları konsepti olarak varlığını sürdürecek, ancak CIISec bünyesinde tanıtılacak. Akademisyenler olarak biz de hala var olacağız, ancak projeleri eskisi gibi yürütmeyeceğiz' dedi.
CIISec CEO'su Amanda Finch, Infosecurity'e yaptığı açıklamada CyCOS'un geliştirilmesinde yer almaktan gurur duyduklarını belirterek, 'Güvenlik profesyonelleri olarak, daha küçük kuruluşların siber dirençlerini artırmalarına yardımcı olma sorumluluğumuz var. Mevcut destek toplulukları bu alanda mükemmel işler çıkarıyor, bu nedenle daha fazlasının kurulmasından çok memnunuz' dedi. Beş yeni topluluk hakkında henüz ayrıntı verilemezken Furnell, bu toplulukların 'yeterli sayıda KOBİ'yi çekebileceklerini düşünen' ve kolaylaştırıcı olarak gönüllü olan KOBİ'ler tarafından kurulduğunu açıkladı. Yeni CyCOS toplulukları coğrafi konum, sektör ve hatta tedarik zinciri etrafında yapılandırılabilecek. Lider KOBİ'lere, üye toplama, topluluk kurma ve işletme adımlarını içeren bir 'Topluluk Araç Seti' sağlandı. Bu belge, sorumluluk CIISec'e geçerken grupların modeli tekrarlayabilmesini garanti ediyor.
Sistem Güvenliği
KOBİ'lere yönelik siber tehditler, hem vatandaşların hem de tehdit aktörlerinin KOBİ'lerin 'herkesin hayatının ve faaliyetlerinin önemli bir parçası' olduğunu fark etmesiyle evrildi ve büyüdü. Furnell, özellikle tedarik zincirini etkileyen ve KOBİ'leri de içeren büyük siber olaylar gördüklerini vurguladı. Bu zorlu ortamda, İngiltere'deki KOBİ liderlerinin siber güvenlik rehberliği ve hükümet programları hakkındaki farkındalığının hala sınırlı olduğunu ve şirket küçüldükçe farkındalığın azaldığını söyledi. Bu eğilim, özellikle İngiltere hükümeti destekli siber hijyen sertifikasyon programı Cyber Essentials'ta belirgin. En son UK Cyber Security Breaches anketine göre, büyük işletmelerin %64'ü ve orta ölçekli işletmelerin %56'sı programın farkındayken, küçük işletmelerde bu oran %25'e, mikro işletmelerde ise %14'e düşüyor.
Önemli Gelişmeler
Ancak Furnell, CyCOS projesinde iki yılı aşkın çalışmanın ardından KOBİ'ler için asıl sorunun siber hijyenin öneminin farkında olmamak değil, siber güvenliği uygulamak için kaynak ve uzmanlık bulmak olduğuna inanıyor. 'Konuştuğumuz birçok kişi sorunların farkında ancak bir şey yapma konusunda kendilerini yetkili hissetmiyor' dedi. Howden'da müdür ve FSB'de gönüllü olan Helen Barge ise bütçe eksikliğini bazı KOBİ'lerin siber güvenlikte geri kalmasının ana nedeni olarak görmekten yorulduğunu söyledi. 'Çok faktörlü kimlik doğrulama (MFA) gibi uygulayabileceğiniz bazı kontroller aslında hiç para gerektirmiyor. Yama yapmak gibi bir şey çok paraya mal olabilir, ancak bütçe kesinlikle tek kısıtlayıcı değil' diye vurguladı. Barge, İngiltere hükümeti tarafından yayınlanan ve NCSC'nin 2025'te çıkardığı Siber Eylem Araç Seti (Cyber Action Toolkit) gibi 'mükemmel rehberliğe' erişimin önemine dikkat çekti. Ayrıca, KOBİ'ler için kritik olan doğru BT ve siber güvenlik sağlayıcılarını seçmeleri gerektiğini belirterek, bazı siber güvenlik sağlayıcılarının sorgulanabilir uygulamalarını eleştirdi.
Kaynak: infosecurity-magazine.com